Im Zentrum des AI Acts steht die Risiko- oder Kritikalitätsbewertung von KI-Systemen. Der AI Act bestimmt Regeln für KI-Systeme entsprechend ihrem Gefahrenpotenzial. Dazu werden KI-Anwendungen in vier Risikostufen klassifiziert – vom minimalen Risiko bis hin zum unannehmbaren Risiko.
Was regelt der AI Act der EU?
Die Europäische Union (EU) hat ein gemeinsames Regelwerk verabschiedet, das zu einer vertrauenswürdigen Gestaltung und Nutzung von Künstlicher Intelligenz beitragen soll: den Artificial Intelligence (AI) Act. In Kraft getreten ist dieser am 01. August 2024 und ist damit das weltweit erste Gesetz zur Regulierung von KI. /p>
Verbindliche Regeln für den KI-Einsatz in Europa
Ziel des AI Acts der EU ist es, den Einsatz von KI-Systemen sicher und vertrauenswürdig zu machen, ohne Innovationen zu hemmen. Ein ausdifferenziertes Regelwerk macht verpflichtende Vorgaben für die Entwicklung und Anwendung von risikoreichen KI-Systemen. So werden technische wie auch ethische Standards vorgeschrieben, um die Grundrechte der EU-Bürgerinnen und -Bürger zu schützen und zugleich den Wirtschaftsstandort Europa global zu stärken.
Diese Regeln gelten als der erste transnationale Versuch, KI mit verbindlichen und gemeinsam ausgehandelten Normen zu gestalten. Was bereits in vielen anderen Bereichen existiert – beispielsweise in der Medizintechnik oder der Regulierung von Impfstoffen, wird nun auch für die KI geschaffen werden: verbindliche Regeln für eine vertrauenswürdige Technik. Damit nimmt die EU eine Vorreiterrolle zugunsten der europäischen Gesellschaft und Wirtschaft ein. Durch die rechtlichen Rahmenbedingungen für KI schafft die EU nicht nur Transparenz für Nutzerinnen und Nutzer und Rechtssicherheit für Unternehmen, sondern sichert auch die technologische Souveränität des Kontinents. Im internationalen Wettbewerb können sich europäische Wertvorstellungen als Qualitätsmerkmal einer vertrauenswürdigen KI durchsetzen – Stichwort: „KI made in Europe“.
Wie regelt der AI Act den Einsatz von KI?
Unannehmbares Risiko: Verbot
Für Hochrisiko-KI-Systeme, deren Risiken als unannehmbar eingestuft werden, gilt ein pauschales Verbot. Darunter fällt die behördliche Bewertung des sozialen Verhaltens anhand öffentlich verfügbarer Daten aus dem Internet (Social Scoring), biometrische Kategorisierung, die auf sensible Daten wie die sexuelle Orientierung oder religiöse Überzeugungen schließen lässt, KI-Systeme, die menschliches Verhalten manipulieren und solche, die die Schwachstellen von Schutzbedürftigen ausnutzen, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen, massenhaftes, ungezieltes Auslesen von Gesichtsbildern aus dem Internet (Scraping) und teils präventive Polizeiarbeit, bei der mithilfe von KI die Wahrscheinlichkeit einer Straftat berechnet wird (Predictive Policing).
Hochrisiko-Anwendungen: Regeln und Registrierung
Wenn von KI-Systemen erhebliche Risiken für die Gesundheit und die Grundrechte von Personen, für Rechtsgüter oder die Umwelt ausgehen, müssen sie bestimmte Anforderungen erfüllen, um Zugang zum EU-Markt zu erhalten. Darunter fallen zum Beispiel KI-Systeme, die auf das Wahlverhalten Einfluss nehmen, die nachträgliche Auswertung von im öffentlichen Raum erfassten biometrischen Daten und viele KI-Systeme in der Medizin oder für die Justiz.
Laut KI-Verordnung müssen Hersteller und Anwender von potenziellen Hochrisiko-Systemen deren Folgen auf Umwelt und Grundrechte abschätzen, bevor das System zum Einsatz kommen kann. Hochrisiko-Systeme müssen dann einer Konformitätsbewertung unterzogen werde, bei der geprüft wird, ob die Systeme den EU-Anforderungen entsprechen. Alle Hersteller von Hochrisiko-Systemen und öffentliche Behörden, die die Systeme nutzen, müssen sich in einer EU-Datenbank registrieren.
Geringes Risiko: Geringe Transparenzpflichten
Ziel ist es, dass die Nutzer einen Überblick über die Funktionsweise des Systems erhalten. Die Entscheidung über die weitere Nutzung der Anwendung obliegt damit den Bürgerinnen und Bürgern. Ein Beispiel hierfür sind automatisierte Film- oder Musikempfehlungen.
Minimales Risiko: Keine Vorschriften
Systeme, die nur ein minimales oder kein Risiko für die Grundrechte darstellen, unterliegen keinen Vorschriften. Diese Kategorie umfasst die meisten KI-Systeme, wie KI-gestützte Videospiele. Anbieter solcher Systeme können sich freiwillig Verhaltenskodizes unterwerfen. So können auch Produkte mit minimalem Risiko einige oder alle Anforderungen des AI Acts erfüllen.
Spezielle Regeln gelten für:
KI-Basismodelle
Basismodelle oder Foundation Models sind Modelle des maschinellen Lernens, die mit extrem großen Datensätzen z. B. aus dem Internet vortrainiert wurden und verschiedene Aufgaben ausführen können. Zu ihnen zählen u.a. die generativen KI-Sprachmodelle GPT-4 (OpenAI), Gemini (Google) oder Llama (Meta). Anbieter von Basismodellen müssen für Transparenz sorgen, indem sie technische Dokumentationen zu den angewendeten Trainings- und Testverfahren sowie zu den Trainingsdaten erstellen und nachweisen, dass sie das europäische Urheberrecht einhalten. Dabei wird nach Rechenkapazität unterschieden: Sehr leistungsstarke Basismodelle unterliegen strengeren Regeln, denn von ihnen können systemische Risiken ausgehen, die sich je nach späterem Anwendungszweck weiterverbreiten. Die zusätzlichen Pflichten betreffen etwa Cybersicherheit und Energieeffizienz.
Biometrische Überwachung
Die biometrische Überwachung von Personen in Echtzeit ist weitestgehend verboten. Eine Ausnahmeregelung gilt für die Strafverfolgung: Liegt eine konkrete Gefährdung wie ein Terroranschlag vor oder eine schwere Straftat aus einer definierten Liste, dürfen die Behörden bei richterlicher Genehmigung einzelne Personen im öffentlichen Raum biometrisch identifizieren. Die nachträgliche Auswertung biometrischer im öffentlichen Raum erfasster Daten wird als Hochrisiko-Anwendung eingeordnet, ist aber grundsätzlich zulässig. Strafverfolgungsbehörden können auf diese Weise unter Einhaltung strenger Schutzvorkehrungen Straftäter ausfindig machen.
Forschung und Verteidigung
Der AI Act gilt nicht für KI-Systeme, die für Forschung und Entwicklung eingesetzt werden oder Systeme, die ausschließlich militärischen oder verteidigungspolitischen Zwecken dienen. Er berührt überdies auch nicht die Zuständigkeiten der Mitgliedstaaten in Bezug auf die nationale Sicherheit.
Wie wird der AI Act umgesetzt?
Die europäischen Regeln für KI sind im AI Act der EU festgehalten. Dieser hat als EU-Verordnung einen rechtlich bindenden Charakter. Konkret bedeutet dies: Der auf europäischer Ebene beschlossene AI Act hat in allen EU-Mitgliedsstaaten die selbe Gültigkeit wie ein nationales Gesetz. Eine erneute Zustimmung der jeweiligen nationalen Parlamente ist nicht notwendig.
Damit der AI Act als rechtliche EU-Verordnung umgesetzt werden kann, arbeitet die EU bereits an Normen, die die Inhalte des AI Acts für die Anwendung in der Praxis konkretisieren. So sollen rechtliche Gestaltung und technische Implementierung im besten Fall reibungslos miteinander synchronisiert werden. Um solche Normen zu erarbeiten, hat die Europäische Kommission bereits das Europäische Komitee für Normung CEN sowie das Europäische Komitee für elektrotechnische Normung CENELEC beauftragt.
Zudem hat die europäische Kommission den KI Pakt ins Leben gerufen, um Unternehmen und Organisationen dazu zu ermutigen, die Umsetzung der Maßnahmen des KI-Gesetzes vorauszuplanen.
Was ist der KI Pakt?
Bestimmte Regelungen des neuen KI-Gesetzes treten unmittelbar nach dessen Verabschiedung in Kraft. Andere, insbesondere die Anforderungen an Hochrisiko-KI-Systeme, werden erst nach einer Übergangszeit wirksam. Die Europäische Kommission unterstützt den KI-Pakt und ermutigt die Industrie, die Vorschriften des KI-Gesetzes freiwillig früher als gesetzlich vorgeschrieben umzusetzen.
Der KI Pakt wurde von der Europäischen Kommission ins Leben gerufen und beinhaltet zwei Säulen:
- Säule eins beinhaltet die Zusammenkunft und den Austausch mit dem Netzwerk des KI-Pakts. Dabei sollen die Teilnehmenden mittels vom Amt für Künstliche Intelligenz organisierten Workshops oder anderer Zusammenkünfte eine kollaborative Gemeinschaft schaffen und ihr Wissen über bewährte Verfahren und Richtlinien teilen. Gleichzeitig fördern die Workshops ein besseres Verständnis des AI Acts.
- Die zweite Säule beinhaltet die Erleichterung und Kommunikation von Unternehmenszusagen. Hierbei soll ein Rahmen geschaffen werden zur frühzeitigen Förderung der Umsetzung des AI Acts, indem Unternehmen ermutigt werden, Prozesse und Praktiken, die implementiert werden, proaktiv offenzulegen und Compliance zu antizipieren. Dies gilt vor allem für Unternehmen, die KI-Systeme bereitstellen. Unternehmen, die sich zu einer so genannten Engagementerklärung verpflichten, sollen regelmäßig über ihre Verpflichtungen Bericht erstatten. Diese werden vom Amt für Künstliche Intelligenz gesammelt und veröffentlicht, um Sichtbarkeit zu gewährleisten, Rechenschaft und Glaubwürdigkeit zu erhöhen und das Vertrauen in die Technologien der Organisationen, die eine Engagementerklärung abgegeben haben, zu stärken.
Der Pakt soll ein gemeinsames Verständnis des AI Acts schaffen sowie konkrete Maßnahmen zur Umsetzung der Regelungen ergreifen. Zudem soll Wissen ausgetauscht und die Sichtbarkeit und Glaubwürdigkeit der Sicherheitsvorkehrungen erhöht werden.
Ein Verhaltenskodex für Modelle für allgemeine KI
Der AI Act sieht für Anbieter von Modellen für allgemeine Künstliche Intelligenz (GPAI) einen Verhaltenskodex (Code of Practice) vor, der kritische Bereiche wie Transparenz, urheberrechtliche Vorschriften und Risikomanagement behandelt. Die Kommission hat hierzu bereits Konsultationen eingeleitet. In der EU tätige GPAI-Anbieter, Unternehmen, Vertreter der Zivilgesellschaft, Rechteinhaber und akademische ExpertInnen sind aufgefordert, ihre Ansichten und Erkenntnisse einzubringen, die in den kommenden Entwurf der Kommission für den Verhaltenskodex für GPAI-Modelle einfließen werden. Die Kommission geht davon aus, dass der Verhaltenskodex bis April 2025 fertiggestellt sein wird. Darüber hinaus werden die Rückmeldungen aus der Konsultation auch in die Arbeit des AI-Büros einfließen, das die Umsetzung und Durchsetzung der Vorschriften des AI-Gesetzes zu GPAI überwachen wird.
Das AI-Office – Ein Amt für vertrauenswürdige KI
Das cit ist das neu gegründete Europäische Amt für KI. Es wurde im Februar 2024 von der Kommission ins Leben gerufen und ist für die Überwachung der Einhaltung und Implementierung des KI-Gesetzes in den EU-Mitgliedstaaten zuständig. Es zielt darauf ab, eine Atmosphäre zu schaffen, in der KI-basierte Technologien die menschliche Würde sowie die Grundrechte achten und Vertrauen stärken. Weiterhin unterstützt das Amt die Kooperation, Neuerung und Forschung im KI-Sektor unter den verschiedenen Stakeholdern. Es beteiligt sich auch aktiv an globalen Gesprächen und Kooperationen bezüglich KI, um die Wichtigkeit einer weltweiten Harmonisierung der KI-Regulierung zu betonen. Mit diesen Initiativen strebt das Europäische KI-Amt danach, Europa als Vorreiter in der ethischen und nachhaltigen Entwicklung von KI voranzubringen.
Gezielte Förderung für KI-Start-Ups und KMU
Im Januar 2024 hat die Kommission ein Innovationspaket für KI eingeführt, um Start-ups und KMU bei der Entwicklung vertrauenswürdiger KI zu unterstützen. Die Initiative GenAI4EU und das KI-Büro waren Teil dieses Pakets. Gemeinsam werden sie zur Entwicklung neuer Anwendungsfälle und aufkommender Anwendungen in den 14 industriellen Ökosystemen Europas sowie im öffentlichen Sektor beitragen. Die Anwendungsbereiche umfassen Robotik, Gesundheit, Biotechnologie, Fertigung, Mobilität, Klima und virtuelle Welten.
Publikationen zum Thema
